证书服务器迁移到R2Word下载.docx
- 文档编号:19278406
- 上传时间:2023-01-05
- 格式:DOCX
- 页数:16
- 大小:569.71KB
证书服务器迁移到R2Word下载.docx
《证书服务器迁移到R2Word下载.docx》由会员分享,可在线阅读,更多相关《证书服务器迁移到R2Word下载.docx(16页珍藏版)》请在冰豆网上搜索。
3、使用Certutil.exe记录CA模板列表
(1)使用本地管理凭据登录到bj-ad-sms计算机。
(2)打开命令提示符窗口。
(3)键入certutil.exe-catemplates>
catemplates.txt,并按Enter。
(4)验证catemplates.txt文件是否包含模板列表,并将catemplates.txt文件,拷贝到C:
\windows\sysvol\sysvol
4、记录CA的签名算法和CSP
(1)使用本地管理凭据登录到bj-ad-sms。
(3)键入certutil.exegetregca\csp\*>
csp.txt,并按Enter。
(4)打开csp文件,截图如下:
(5)记录原始的CA将AIA和CRL数据发布到HTTPURLs以及客户端在验证证书链和CRL数据时可以访问HTTPURL,以便迁移后设置手动发布AIA和CRL数据带原始的web服务器或是添加一条DNS记录将指向原始的HTTPURL执行新的CA服务器的HTTPURL(这里源服务器和目标服务器的勾选项要一致)。
例如:
记录下图中ldap和http中的勾选项。
二、迁移证书颁发机构
1、备份源证书服务器CA数据库和私钥
(1)以域管理员身份,登录到源服务器。
(2)打开“证书颁发机构”管理单元。
(3)右键单击CA名称,指向“所有任务”,然后单击“备份CA”。
(4)在CA备份向导的“欢迎”页上,单击“下一步”。
(5)在“要备份的项目”页上,选中“私钥和CA证书”以及“证书数据库和证书数据库日志”复选框,指定备份位置例如D:
\CABACKUP,然后单击“下一步”。
(6)在“选择密码”页上,键入用于保护CA私钥的密码,并单击“下一步”。
(7)在“正在完成备份向导”页上,单击“完成”。
(8)备份完成后,验证所指定的位置中的以下文件:
①包含CA证书和私钥的CA名称.p12
②包含文件certbkxp.dat、edb#####.log和CA名称.edb的Database文件夹
(3)打开命令提示符窗口,并键入netstopcertsvc以停止“ActiveDirectory证书服务”服务。
(4)将所有备份文件复制到可从目标服务器中访问的位置(C:
\windows\sysvol\sysvol)。
2、备份源证书服务器CA注册表设置
(1)以域管理员登陆源服务器
(2)单击“开始”,指向“运行”,并键入regedit以打开注册表编辑器。
(3)在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc中,右键单击“Configuration”,然后单击“导出”。
(4)指定C:
\windows\sysvol\sysvol位置存储和文件名为careg,然后单击“保存”。
3、备份源证书服务器CAPolicy.inf
(1)打开我的电脑,找到c:
\windows,没有找到CAPolicy.inf文件,直接搜索C盘也无CAPolicy.inf文件。
注意:
已经需要打开文件夹显示隐藏文件属性。
(2)说明用户没有自定义CAPolicy.inf,因此不需要备份这个文件。
4、从源服务器中删除CA角色服务
(1)以域管理员身份登录源服务器。
(2)打开控制面板,使用“添加/删除Windows组件”,卸载证书服务器。
(3)等卸载完成,后点击完成。
5、将CA角色服务添加到目标服务器
(1)以域管理员身份登录目标服务器
(2)打开管理工具---服务器管理器,添加角色
(3)添加AD证书服务,下一步
(4)选择证书颁发机构和证书颁发机构web注册,下一步
(5)选择企业,下一步。
(6)根CA,下一步
(7)在“设置私钥”页上,选择“使用现有私钥”和“选择一个证书并使用其关联私钥”。
(8)在“证书”列表中,单击导入的CA证书,然后单击“下一步”。
需要提前将源服务器中的cabackup文件夹和careg.reg,和catemplates.txt文件拷贝到本地C盘根目录。
(9)选择cabackup文件夹.p12文件,并输入备份时的密码,确定。
(10)选择chinalifereca,然后下一步
(11)在“配置证书数据库”页上,下一步。
(12)在“确认安装选择”页上查看消息,然后单击“安装”。
(13)安装完成,选择关闭。
6、在目标服务器上还原CA数据库
(1)以域管理登陆目标服务器
(2)打开管理工具---证书颁发机构
(3)右键单击包含CA名称的节点,指向“所有任务”,然后单击“还原CA”。
如果出现提示,请单击“确定”停止CA服务。
(4)在“欢迎”页上,单击“下一步”。
(5)在“要还原的项目”页上,选择“证书数据库和证书数据库日志”。
(6)单击“浏览”,选择C:
\cabackup\目录,按下一步。
(7)输入密码,下一步。
(8)点击完成
(9)单击“是”重新启动CA服务。
7、在目标CA上导入源CA注册表备份
(2)以管理员身份运行“命令提示符”。
(3)键入netstopcertsvc并按Enter。
(4)切换到存放careg.reg文件的目录,键入regimportcareg.reg,并按Enter。
需要提前将源服务器中的careg.reg,文件拷贝到本地C盘根目录。
8、编辑目标服务器CA注册表设置(注意:
如果源服务器和目标服务器名称相同,可以直接跳到10步骤)
(1)单击“开始”,在“搜索程序和文件”框中键入regedit.exe,并按Enter以打开注册表编辑器。
更改注册表前,先备份注册表。
(2)在控制台树中,找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\CertSvc\Configuration项
(3)在详细信息窗格中,双击“DBSessionCount”。
(4)单击“十六进制”。
在“数值数据”中,键入64,然后单击“确定”。
(5)验证以下设置中指定的位置对于目标服务器是否正确,并根据需要更改它们以指示CA数据库和日志文件的位置。
①DBDirectory
②DBLogDirectory
③DBSystemDirectory
④DBTempDirectory
以上键值中目录位置要和安装CA时的路径一致,否则会出错误。
(6)在注册表编辑器的控制台树中,找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\CertSvc\Configuration,并单击CA名称。
(7)通过将源服务器名称替换为目标服务器名称,修改以下注册表设置的值。
①CACertFileName
②ConfigurationDirectory(注意:
这个值,在configuration键值下面,HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\CertSvc\Configuration)
②CAServerName
(8)通过将%1替换为目标服务器的完全限定的域名(例如“BJ-DC.test.local”),并将%2替换为目标服务器的NetBIOS名称(这里为“BJ-DC”),修改以下注册表设置的值
(HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\CertSvc\Configuration下面)。
②CACertPublicationURLs
②CRLPublicationURLs
9、验证目标CA上的证书扩展
(1)打开“证书颁发机构”管理单元。
(2)在控制台树中,单击CA的名称。
(3)在“操作”菜单上,单击“属性”,然后单击“扩展”选项卡。
请确认“选择扩展”设置为“CRL分发点(CDP)”。
(4)添加如下一条(如下图:
):
“ldap:
///CN=<
CATruncatedName>
<
CRLNameSuffix>
CN=<
ServerShortName>
CN=CDP,CN=PublicKeyServices,CN=Services,<
ConfigurationContainer>
CDPObjectClass>
”
如果目标CA服务器和源CA服务器名称不同,必须有这条。
否则吊销服务器不正常。
(5)点击新添加的“ldap:
更改为下列选项。
(注意这里选项要与“一、准备源服务器4”中最后记录CRL和ATA设置一致)
(6)测试时可以将证书CRL发布间隔改为5年,增量改为4年
CRL发布间隔时间长短会对客户端访问证书的性能和证书安全有影响。
10、还原证书模板列表
(1)以域管理员登陆目标服务器。
(2)打开证书颁发机构---证书模板
(3)对比源服务器的备份CA模板列表
如果缺少某个模板,可以使用一下命令,单独添加
①以管理员身份打开命令提示符窗口。
③切换到C盘
④例如:
添加系统管理员模板(具体模块命令,可以参考(3)中文对照的英文):
键入“certutil-setcatemplates+”Administrator””,并按Enter。
11、对AIA和CDP容器授予权限
(1)以域管理员登陆到目标服务器
(2)单击“开始”,指向“运行”,键入dssite.msc,打开AD站点和服务,然后单击“确定”。
(3)在控制台树中,单击顶部的节点。
(4)在“视图”菜单上,单击“显示服务节点”。
(5)在控制台树中,展开“服务(Services)”,展开“公钥服务(PublicKeyServices)”,然后单击“AIA”。
(6)在详细信息窗格中,右键单击源CA名称,然后单击“属性”。
(7)单击“安全性”选项卡,然后单击“添加”。
(8)单击“对象类型”,单击“计算机”,然后单击“确定”。
(9)键入目标服务器的名称,并单击“确定”。
(10)在“允许”列中,单击“完全控制”,并单击“应用”。
(11)如果源服务器名对象显示在“组或用户名”中,请单击源服务器的名称,然后单击“删除”,再单击“确定”。
(12)在控制台树中,展开“CDP”,然后单击源服务器的名称。
(13)在详细信息窗格中,右键单击列表顶部的“cRLDistributionPoint”项,然后单击“属性”。
(14)单击“安全性”选项卡,然后单击“添加”。
(15)单击“对象类型”,单击“计算机”,然后单击“确定”。
(16)键入目标服务器的名称,并单击“确定”。
(17)在“允许”列中,单击“完全控制”,并单击“应用”。
(18)如果源服务器名称对象显示在“组或用户名”中,请单击源服务器的名称,然后单击“删除”,再单击“确定”。
12、启动证书服务
1)以域管理员登陆目标服务器
2)打开管理工具---证书颁发机构,右键选择CA证书名称,所有任务,然后启动服务。
(4)验证迁移
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 证书 服务器 迁移 R2